对于 AuthnRequest、Response 和 LogoutRequest,如果支持重定向和 POST(每个元数据),是否应该优先选择其中一个?
最常见的是,请求可以是其中之一,但响应是 POST。这是由断言的安全性和大小驱动的。
安全性:如果使用重定向,则响应是 URL 的一部分。因此,它可以在各种日志中捕获,如规范的安全注意事项中所述,特别是saml-bindings 的第 3.4.5.2 节第 670-1 行。
大小:一些企业发送大量属性,包括大组组。我什至见过在断言中发送的化身。这可能会使响应的大小变得非常大,并且在某些情况下,可能会超出浏览器允许的 URL 大小。
如果这两个都不重要,那么可以使用其中一个。
| 归档时间: |
|
| 查看次数: |
2330 次 |
| 最近记录: |